Guvernul a aprobat în ședința de joi un proiect de lege privind securitatea şi apărarea cibernetică a României, prin care introduce trei amenințări cibernetice pe lista ameninţărilor la adresa securităţii naţionale a României și stabilește care sunt autoritățile competente în domeniul securității cibernetice. G4Media a scris despre acest proiect AICI. Conform proiectului adoptat, se înființează Sistemul Național de Securitate Cibernetică, crește rolul consilierului prezidențial pe probleme de securitate, iar SRI va fi autoritate competentă la nivel național în domeniul cyber intelligence. În plus, ca noutate, Guvernul introduce trei amenințări cibernetice pentru care se poate institui stare de alertă sau de urgență. Asociația pentru Tehnologie și Internet a criticat noua propunere legislativă pentru faptul că impune condiții absurde de notificare în cazul breșelor de securitate pentru categorii extrem de largi de actori privați și alte probleme care ignoră importanța confidențialității.
Proiectul arată că, având în vedere că atacurile și amenințările cibernetice pot paraliza complet instituții publice, infrastructuri critice și servicii publice, „este nevoie ca statul să poată institui situațiile excepționale, la nevoie, în acord cu limitele și condițiile impuse de Constituție”.
„Pentru a da această prerogativă autorităților competente, proiectul de lege prevede posibilitatea instituirii stării de asediu sau de urgență pentru rațiuni de securitate cibernetică și apărare cibernetică”, prevede documentul.
Noutățile proiectului sunt înființarea Sistemului Național de Securitate Cibernetică (SNCSC), a cărui activitate va fi coordonată de Consiliul Operativ de Securtiate Cibernetică (COSC). Consiliul ar urma să fie condus de consilierul prezidențial pentru probleme de securitate națională. Potrivit proiectului de lege, Serviciul Român de Informații este autoritate competentă la nivel național în domeniul cyber intelligence. Proiectul de lege mai prevede că persoanele juridice care au în responsabilitate rețele și sisteme informatice prevăzute au obligația de a notifica incidentele de securitate cibernetică de îndată dar nu mai târziu de 24 de ore de la constatarea incidentului.
Principalele prevederi ale proiectul de lege privind apărarea cibernetică a României:
Potrivit proiectului, se înființează Sistemul Național de Securitate Cibernetică, denumit în continuare SNSC, drept cadru general de cooperare care reunește autorități și instituții publice cu responsabilități și capabilități în domeniu, în vederea coordonării acțiunilor la nivel național pentru asigurarea securității cibernetice.
Proiectul de lege mai prevede activitățile SNSC sunt coordonate, la nivel strategic, de către Consiliul Suprem de Apărare a Țării (CSAT. Activitățile SNSC sunt coordonate unitar, la nivel operațional, de către COSC. Serviciul Român de Informații asigură secretariatul tehnic al COSC.
COSC este un organ consultativ, fără personalitate juridică, aflat sub autoritatea CSAT, format din consilierul prezidențial pentru probleme de securitate națională, consilierul prim-ministrului pe probleme de securitate națională, Secretarul Consiliului Suprem de Apărare a Țării, precum și reprezentanți ai: Ministerului Apărării Naționale, Ministerului Afacerilor Interne, Ministerului Afacerilor Externe, Ministerului Cercetării, Inovării și Digitalizării, Serviciului Român de Informații, Serviciului de Informații Externe, Serviciului de Telecomunicații Speciale, Serviciului de Protecție și Pază, Oficiului Registrului Național al Informațiilor Secrete de Stat, Autorității Naționale pentru Administrare și Reglementare în Comunicații și ai Directoratului Național de Securitate Cibernetică.
Potrivit proiectului de lege, printre obiectivele prezentei legi sunt se numără asigurarea rezilienței și protecției rețelelor și sistemelor informatice ce susțin funcțiile de apărare, securitate națională, ordine publică și guvernare dar și desemnarea autorităților competente și stabilirea cadrului legal de dezvoltare a capabilităților necesare îndeplinirii responsabilităților acestora în domeniile securității și apărării cibernetice.
COSC emite hotărâri, adoptate prin consens, care sunt obligatorii pentru instituțiile prevăzute la alin. (1), conform competențelor legale.
Conducerea COSC este asigurată de un președinte – consilierul prezidențial pentru probleme de securitate națională și un vicepreședinte – consilierul prim-ministrului pe probleme de securitate națională, se mai arată în proiectul de lege.
În funcție de natura și evoluția amenințărilor cibernetice sunt invitați să participe în cadrul ședințelor COSC și reprezentanți ai altor entități – autorități, instituții publice, persoane juridice de drept public sau privat – care pot contribui la soluționarea problemelor de securitate cibernetică.
Sunt autorități competente în sensul legii:
a) Directoratul Național de Securitate Cibernetică, denumit în continuare DNSC, pentru spațiul cibernetic național civil, conform prevederilor prezentei legi și ale Ordonanței de urgență nr. 104/2021 privind înființarea Directoratului Național de Securitate Cibernetică,
aprobată, cu modificări și completări, prin Legea nr. 11/2022;
b) Ministerul Cercetării, Inovării și Digitalizării, denumit în continuare MCID, pentru elaborarea și inițierea actelor normative și politicilor publice naționale în domeniul securității cibernetice, a transformării digitale, societății informaționale, comunicațiilor, cercetării,
dezvoltării și inovării.
c) Autoritatea Națională pentru Administrare și Reglementare în Comunicații, denumită în continuare, ANCOM, pentru coordonarea activităților desfășurate în vederea asigurării securității cibernetice a rețelelor și sistemelor informatice proprii și a celor
prevăzute la art. 3 alin (1) lit. b);
d) Ministerul Apărării Naționale, Ministerul Afacerilor Interne, Oficiul Registrului Național al Informațiilor Secrete de Stat, Serviciul Român de Informații, Serviciul de Informații Externe, Serviciul de Telecomunicații Speciale și Serviciul de Protecție și Pază pentru asigurarea securității și apărării cibernetice, respectiv pentru cunoașterea, prevenirea și contracararea amenințărilor cibernetice la adresa rețelelor și sistemelor informatice din domeniul lor de competență, activitate sau responsabilitate. În acest sens, stabilesc structuri și măsuri tehnice și organizatorice privind coordonarea și controlul activităților de securitate și apărare cibernetică.
Potrivit proiectului de lege, Serviciul Român de Informații este autoritate competentă la nivel național în domeniul cyber intelligence, precum și pentru cunoașterea, analizarea, prevenirea și contracararea incidentelor și atacurilor cibernetice care reprezintă amenințări, riscuri și vulnerabilități la adresa securității naționale a României.
Proiectul de lege mai prevede că persoanele juridice care au în responsabilitate rețele și sisteme informatice prevăzute la art. 3 alin. (1) lit. b) și lit. c), au obligația de a notifica incidentele de securitate cibernetică prin intermediul PNRISC, de îndată dar nu mai târziu de 24 de ore de la
constatarea incidentului.
Noutate: stare de alertă sau de urgență pentru amenințări cibernetice
O noutate a proiectului este că Guvernul introduce trei amenințări cibernetice pe lista amenințărilor la adresa securităţii naţionale a României următoarele, pentru care se poate institui stare de asediu sau de urgență.
Astfel, vor constitui ameninţări la adresa securităţii naţionale a României și următoarele amenințări cibernetice, pe lângă amenințările definite deja de lege (Articolul 3):
n) amenințări cibernetice sau atacuri cibernetice asupra infrastructurilor informatice și de comunicații de interes național;
Conceptul de atac cibernetic este definit ca fiind ”acțiune ostilă (de rea-credință) desfășurată în spațiul cibernetic de natură să afecteze securitatea cibernetică”.
o) acțiuni, inacțiuni sau stări de fapt cu consecințe la nivel național, regional sau global care afectează reziliența statului în raport cu riscurile și amenințările de tip hibrid;
p) acțiuni derulate de către o entitate statală sau nonstatală, prin realizarea, în spațiul cibernetic, a unor campanii de propagandă sau dezinformare, de natură a afecta ordinea constituțională.”.
Acțiunile de propagandă și dezinformare vizate sunt doar cele care afectează ordinea constituțională, adică setul de principii fundamentale pe care este constituit statul român, regimul constituțional de drepturi și libertăți fundamentale, regimul constituțional al funcționării autorităților publice de rang constituțional protejarea garanțiilor prevăzute de Constituție.
Criticile ApTI
Asociația pentru Tehnologie și Internet afirma, în data de 14 noiembrie, când proiectul a fost pus în dezbatere publică de către Ministerul Cercetării, Inovării și Digitalizării, că propunerea legislativă impune condiții absurde de notificare în cazul breșelor de securitate pentru categorii extrem de largi de actori privați și alte probleme care ignoră importanța confidențialității.
ApTI afirma că orice site va fi supus obligațiilor de securitate. Asociația afirma că ar trebui supuse acestor obligații doar site-urile din sectoare esențiale și de la firme mari și mijlocii, conform directivei NIS2.
Conform ApTi, furnizorii de servicii de securitate cibernetică devin delatori profesioniști, deoarece: „Furnizorii de servicii de securitate cibernetică au obligația de a pune la dispoziția autorităților prevăzute la art. 10, la cererea motivată a acestora, în termen de maximum 48 de ore de la data primirii solicitării, date și informații privind incidente, amenințări, riscuri sau vulnerabilități a căror manifestare poate afecta o rețea sau sistem informatic a deținătorului sau a unor terți”. Astfel, acești furnizori sunt obligați ca, la orice întrebare de la una din instituțiile din Art. 10, să pârască propriii clienți, fără mandat judecătoresc, fără autorizație precisă.
Asociația mai cere să fie clar care sunt exact domeniile de competență ale fiecărei instituții. În prezent, textul este vag și folosește termeni generici: “a rețelelor și sistemelor informatice din domeniul lor de competență, activitate sau responsabilitate”.
Observațiile ApTI pot fi citite integral AICI.